白癜风专家团队 https://wapjbk.39.net/yiyuanfengcai/ys_bjzkbdfyy/791/提及CIA无人不知,但公开资料探讨分析CIA能力的却寥寥无几。本文通过对电影《谍影重重5》的逐帧深度分析,期望对CIA情指行一体化能力能有一个整体认知。电影中展示的CIA足够先进的技术和能力,其实都并非魔法,其中大部分都是有迹可寻,并且已经实实在在存在了,只是很少为大众所知。同时,本文也希望能透过电影看现实,对智能指挥系统的未来趋势能有一个技术判断。声明:本文不包含任何涉及国家安全的非公开资料,所有以下内容均从公开互联网搜集所得,不涉及任何非法行为。
注:任何足够先进的技术都与魔法无异。---阿瑟·克拉克第三定律
美国情报共同体整体概述
美国情报共同体(UnitedStatesIntelligenceCommunity简称IC)又称美国情报联盟、美国情报体系、美国情报界等等。年,事件推动了美国情报界的改革,国家情报总监办公室(OfficeoftheDirectorofNationalIntelligence简称ODNI)建立。ODNI的使命是「领导情报整合并打造能够传递最有洞见情报的共同体」,负责牵头其余16个美国情报机构以达到情报整合的目的。国家情报总监是美国情报共同体的负责人,同时也是美国总统、国家安全理事会和国土安全理事会在涉及国家安全的情报事务方面的首席顾问。
在情报共同体中,16个情报成员机构有:
中央情报局CentralIntelligenceAgency国家安全局NationalSecurityAgency国防情报局DefenseIntelligenceAgency国家地理空间情报局NationalGeospatialIntelligenceAgency国家侦察局NationalReconnaissanceOffice联邦调查局FederalBureauofInvestigation缉*局国家安全情报办公室OfficeofNationalSecurityIntelligence能源部情报与反情报办公室OfficeofIntelligenceandCounterintelligence国土安全部DepartmentofHomelandSecurity国务院情报和研究局BureauofIntelligenceandResearch财*部情报与分析办公室OfficeofIntelligenceandAnalysis空*情报监视和侦察AirForceIntelligenceSurveillanceandReconnaissance陆**事情报ArmyMilitaryIntelligence海*情报办公室OfficeofNavalIntelligence海*陆战队情报MarineCorpsIntelligence海岸警卫队情报CoastGuardIntelligence。
其中最为被大众所知的,是CIA、FBI和NSA这三家。一句话形象总结,在CIA眼里NSA是一个只会捣鼓电脑的书呆子,在NSA眼里CIA只是一个干尽龌龊肮脏事情的莽夫,但在CIA与NSA的共同眼里,FBI就是个打杂的弟弟。NSA在信号情报SIGINT、通信情报COMINT方面,以及黑客入侵方面全面超越CIA,但是CIA在人力情报HUNINT、行动能力以及指挥能力上,绝对可以说是制霸全球,而相比之下,FBI只能搞点国内鸡毛蒜皮阿猫阿狗的小案件。
从此前斯诺登曝光的U.S.INTELLIGENCEFUNDING数据显示,年美国情报预算(不包括*事情报在内)总计为亿美元,其中CIA排名第一占了亿,NSA第二占了亿。从预算上,也可以看得出CIA在美国情报界当之无愧的爸爸地位。
提及CIA的能力,可以随便举几个例子。比如,50年代就研制出能高空2万米的传奇侦察机U-2,年全程策划并指挥了猎杀本拉登行动,年CIA黑客武器库穹窿7(Vault7)曝光,年公布CIA旗下黑客组织APT-C-39对中国航空航天、科研机构以及*府机构等多个单位进行了长达11年的网络攻击渗透。以及,近几年全球范围内被曝光的各式各样的脏活,背后大多数都有CIA的影子……
而关于CIA的能力,前CIA局长DavidH.Petraeus在年一次对外演讲中曾经说过一句著名的话「我发现我们的技术能力通常远远超过汤姆·克鲁斯电影中展示的样子Indeed,I’vefoundthatourtechnicalcapabilitiesoftenfarexceedwhatyouseeinTomCruisefilms」。
电影整体概述与关键信息
电影《谍影重重5》整体背景设定于后斯诺登时代,CIA核心服务器遭受黑客入侵,大量秘密黑色行动计划(BlackOperations)资料被窃取,泄漏影响范围远远大于斯诺登事件。与此同时,CIA还发现了杰森·伯恩(JasonBourne)和前行动搭档尼基·帕森斯(NikkiParsons)的踪迹。年轻的CIA网络部主管海瑟·李(HeatherLee)主动请缨抓捕伯恩,而伯恩也在寻找着关于自己身世的惊天黑幕。CIA局长罗伯特·杜威(RobertDewey)是唯一知晓这一切幕后秘密的人。
接下来由于篇幅原因,将用数篇文章,通过如下的几个场景,雷克雅未克黑客入侵事件、雅典宪法广场抓捕行动、深梦集团与全民监控项目、柏林科维兹定点入侵行动、伦敦帕丁顿广场抓捕行动、拉斯维加斯刺杀栽赃行动,来深度剖析CIA情指行一体化能力。
雷克雅未克黑客入侵事件,你将看到:社交网络实时监控、恐怖分子挖掘算法、入侵检测与响应、内部数据泄漏检测、IP溯源与反制、入侵电网系统、攻击者溯源、情报研判系统、关系网络分析、标签圈选分析、人脸比对识别……
雅典宪法广场之抓捕行动,你将看到:CIA指挥中心布局、接入视频监控数据、手机信令数据接入、公共交通数据接入、监控当地警方通讯、4G望远镜视频接入、切断区域网络、人脸实时布控、模糊图像增强、间谍卫星调度、汽车移动视频接入、遥感数据实时计算、逃犯线路预测算法、逃犯ETA时间预测、无人机实时视频接入、直升机实时视频接入、4G狙击枪实时视频……
深梦集团与全民监控项目,你将看到:影射社交巨头侵犯隐私、影射XKeyScore项目、影射斯诺登棱镜门事件、CIA旗下投资机构In-Q-Tel……
柏林科维兹定点入侵行动,你将看到:非结构化文档数据分析、现场最佳视频视角识别、监控视频数据接入、跨境追踪行人ReID技术、任意手机号码定位技术、远程入侵老人机手机、入侵隔离网络技术……
伦敦帕丁顿广场抓捕行动,你将看到:现场应急指挥、奔驰sprinter移动指挥车、全天候全频段全民监控……
拉斯维加斯刺杀栽赃行动,你将看到:影射DEFCON黑客大会、GPSTRACKING硬件、远距离监听器……
雷克雅未克黑客入侵事件
故事开始,先描述了一次从冰岛雷克雅未克入侵CIA主服务器的事件。尼基·帕森斯敲开一栋废弃工厂厂房的大门。尼基提到,是克里斯蒂安让他来的,工厂里面是一个HackingCamp,镜头一扫,其中一个黑客正在进行SQL注入,旁白「UseSQLtocorrupttheirdatabases…」显示器上图片显示的是日本银行。
尼基将一个板卡状的东西接上了电脑,开机屏幕显示Dubna48K。Dubna48K是年苏联仿制ZXSpectrum的个人计算机/游戏机,Dubna是莫斯科附近的小镇,48K代表48KB的RAM。Dubna48K上无法运行DoS、Unix等现代操作系统,只有一个内置的SinclairBASIC解释器。
在CIA总部这边,年轻的网络部主管海瑟·李正在浏览华盛顿邮报关于CIA的报道。网页背景出现了一套系统,屏幕左上方显示CyberDivisonIntelBase以及SocialNetwork字样。其中,IntelBase是电影中CIA的情指行一体化系统的一部分,SocialNetwork应该是社交网络监控、研判相关的功能模块。系统左侧控制台猜测是社交高危舆情事件的Feed流,右侧开了个Terminal。
接着海瑟开始做一些恐怖分子Hunting,在Terminal中输入「runpredictivealgorithm」,运行预测算法,Terminal上方显示的Level5应该为使用者对应的安全许可等级。在美国情报体系,ClassifiedInformation分为三个大的等级,机密(Confidential)、秘密(Secret)和绝密(TopSecret),访问不同等级的信息都需要通过对应的安全审查(SecurityClearance)获得安全许可。从事国家安全相关岗位的员工、部队或承包商都需要通过Tier5Investigation的安全审查,也叫SSBI(SingleScopeBackgroundInvestigation),才能访问TOPSECRET级别的国家安全相关信息。
预测算法开始运行,地图显示地区为叙利亚北部城市阿泰勒区域,GIS上面叠加人员关系网络,红色标记为算法预测出来的疑似恐怖分子。SNS数据挖掘在安全领域的应用是个很成熟的领域了,通过言论行为、点赞行为、关系网络等,筛选出疑似恐怖分子的账号进行布控。海瑟这时正Hunting得正嗨,接到电话提示有黑客入侵事件。
下图可以看到,要访问到CIA主服务器所在的网络,是需要可信设备才能接入的(零信任有木有?),这就是为什么尼基要使用Dubna48K的原因,Dubna48K是当年CIA的一台可信设备,但是在年被标记为「已销毁」,这里CIA的系统存在一个漏洞,标记为销毁的设备却没有被清理掉对应的访问权限,但还好异常的访问行为及时的触发了告警。
而尼基这边,正在从服务器上下载黑色行动相关的文件,可以看到,除了谍影重重1-3部中出现过的绊脚石项目(TREADSTONEPROGRAPM)和黑蔷薇项目(BLACKBRIARPROGRAPM)外,还有其他8个黑色行动计划。
CIA这边显示了一个可视化操作的界面,实时显示当前哪台服务器在发生数据泄漏(SYSTEMBREACH),以及传输了多少数据。
海瑟向其他探员要了一个反弹shell(reverseshell),准备开始表演溯源和反制。
穿透多层肉鸡,海瑟溯源到了攻击源IP来自冰岛,IP地理位置显示为冰岛首都雷克雅未克的一处厂房,坐标位64°07’58.0N21°4911.1W。
下图中红色POI为电影中坐标实际的位置,在附近不远处,确实有一栋同电影里类似的厂房,经查证,是一个生产炸药、钻孔设备的工厂,全冰岛所有的爆炸物、雷管都产自这里。(详见:kemis.is)
在现实中,民用的IP地理位置很难做到到一栋房屋这种精度,通常能精确到一个市一个区县就已经很难了,各国运营商的特性不同,国外IP地理位置还好做一点,国内IP的各种情况就更是尤其复杂,每年需要投入大量成本才能长期维持一个较好的地理位置精度。
民用IP定位要做到很难,但*用能做到也不是不可能。比如,斯诺登曝光棱镜门事件同一时期,也曾曝光过NSA的藏宝图计划(TREAUSREMAP),该项目旨在打通地理位置、物理网络、逻辑网络、个人设备、实人身份,构建一个实时、可交互的全球IP地图。
再比如,年5月,哈马斯的黑客组织对以色列目标发动网络攻击,以色列国防*网络防御部门在成功进行防御与攻击溯源后,直接对黑客当时所在的加沙地带的一栋建筑物发射发射多枚导弹进行空袭,从IP到轰炸,反制一步到位。
回到电影,海瑟的手下查到了攻击源IP所属的这栋建筑属于萨科夫的HackingCamp,海瑟下令黑进他们电网,切断该栋建筑的供电。
入侵电网早已不是科幻,CIA具备这个能力一点也不奇怪。早在-年,乌克兰国家电网就遭受过来自俄罗斯国家级黑客组织沙虫(Sandworm)两次名留青史的断电攻击,致使首都基辅部分地区和乌克兰西部的万名居民遭遇长达数小时的大规模停电,至少三个电力区域被攻击,占据全国一半地区。(详见:乌克兰电力系统遭受攻击事件综合分析报告)
此时海瑟已经反制成功,种下了Malware,而她的手下也搞定了电网的开关,手下屏幕上出现了HackingCamp的「一房一档」,种完马CIA立即进行了断电操作,入侵响应与反制流程至此结束。
刚才的攻击溯源其实仅仅是定位到了源IP和地理位置,对CIA来说,不溯到攻击者实人身份那就是打脸,接下来海瑟开始表演高级溯源,用到的还是IntelBase这套系统。
可以看到IntelBase入口相当简约,就一搜索的入口和按钮,连高级搜索都没有。海瑟输入线索「DUBAN48KSERIALKO35M」准备查询设备画像,KO35M是这台DUBAN48K的设备ID。可以看到,画像研判相关的功能,和常见的情报分析系统类似,实体、属性、行为、轨迹情报画像四大件,左侧是控制面板,「行为」中最近一次Session显示地理位置在雷克雅未克。
画面往下,可以看到还有行为统计分析、设备画面抓拍、事件Timeline分析等相关功能。镜头拉远可以看到,Intelbase系统中间部分为分析区域,两边都为控制面板。
接下来开始以实体「KO35M」为中心进行关系研判,分析区域部分也从画像研判切换成了画布。这里可以看到IntelBase影射的是著名的情报研判平台PalantirGotham。
而现实中,Palantir也确实和CIA有千丝万缕的联系。CIA不光是Palantir一直以来的大客户,后文中会提到,同时也是Palantir的投资方。在年猎杀本拉登行动中,CIA也正是因为使用Palantir的情报分析系统Gotham分析出了本拉登的重要线索,使得Palantir从此之后名声大噪。
接下来是常规的图分析操作,「SORTRECENTACTIVITY」可以按照地理位置「Location」、时间「DateOrder」、关系类型「ConnectionType」、入度出度「DataIn/Out」、「SessionID」进行排序。
实体「KO35M」与黑客组织「PANDEMIC」名为ChristianDassault的黑客存在直接关联关系,克里斯蒂安(Christian)就是电影开始之初让尼基去HackingCamp的人。可以看到,克里斯蒂安早就在CIA的「一人一档」里面,而且还被标记了所属组织,说明早就已经在监控范围中。
查看克里斯蒂安的最近活动行为,发现同一个ID为「Knightrider」的社交账号在两小时前有联系,「Knightrider」没有对应的实人身份信息,但是推测为三十出头的女性,从年活跃至今。
接下来海瑟进行人员结构化圈选,搜寻女性、年龄30-35,地理位置冰岛,类型为港口、机场。这里不难看出,搜索的是冰岛出入境的明细数据,因为此前通过IP溯源为雷克雅未克。冰岛一向同美国关系密切,在06年以前美*还常驻冰岛修建*事基地,所以CIA想要拿到冰岛的数据不是很难。
显示搜索匹配中了人,点击「搜索」、「人脸识别」。开始从这人在港口、机场出现的视频数据、证件照数据中去扣人脸进行人脸识别。最后命中了重点人员库,找到了攻击者尼基。
自动弹出命中的人员画像,显示尼基曾是绊脚石项目的成员。画像详细页中高亮显示,尼基与杰森·伯恩有关联。
至此,海瑟也溯源到了雷克雅未克黑客入侵事件和尼基、伯恩有关联,同时也获得了CIA局长杜威授予的指挥授权,准备开始抓捕行动。
未完待续
更多精彩敬请
